How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT-decoder - Decodeer JSON Web Tokens & Check Expiry Online

Plak een JSON Web Token om direct de header en payload te decoderen, bekijk de handtekening en controleer of deze is verlopen. Draait lokaal — je tokens verlaten je browser nooit.

Gecodeerde JWT

Dit hulpmiddel decodeert alleen het token — het verifieert de handtekening niet aan de hand van een geheime of publieke sleutel. Iedereen met het token kan de payload lezen, dus stop nooit geheimen in een JWT.

Over JSON Web Tokens

Een JWT heeft drie Base64URL-gecodeerde segmenten gescheiden door punten: header, payload en handtekening. De header beschrijft het ondertekeningsalgoritme, de payload draagt claims (zoals sub, iat, exp), en de handtekening laat een server verifiëren dat het token niet is aangepast. Decoderen vereist nooit een geheim.

Ga door met het verbeteren van uw afbeeldingen

Breng je fotobewerking naar een hoger niveau met deze populaire tools

📝

Tekst toevoegen aan afbeelding

Voeg bijschriften en titels toe aan uw verbeterde foto

🖼️

Fotorand toevoegen

Omlijst je effect met prachtige randen

🗜️

Afbeelding comprimeren

Optimaliseer uw verbeterde afbeelding voor delen

📐

Formaat van afbeelding wijzigen

Afbeeldingsafmetingen wijzigen

📝

Tekst toevoegen aan afbeelding

Voeg bijschriften en titels toe aan uw verbeterde foto

Probeer het nu

🖼️

Fotorand toevoegen

Omlijst je effect met prachtige randen

Probeer het nu

🗜️

Afbeelding comprimeren

Optimaliseer uw verbeterde afbeelding voor delen

Probeer het nu

📐

Formaat van afbeelding wijzigen

Afbeeldingsafmetingen wijzigen

Probeer het nu

🎨

Foto naar cartoon

Probeer een andere artistieke stijl

Probeer het nu

✏️

Potlood schets

Maak artistieke potloodtekeningen

Probeer het nu

Ontdek alle fototools

Frequently Asked Questions

Plak de gecodeerde JWT (de lange eyJ... string) in de invoerbox. De tool splitst het op de twee punten, Base64URL decodeert de header en payload, en toont de JSON voor elk plus het ruwe handtekeningsegment — allemaal zonder een netwerkverzoek te doen.

usage

Nee. De decoder ontleedt alleen het token — hij controleert de handtekening niet met een geheime of publieke sleutel, omdat verificatie het sleutelmateriaal van de uitgever vereist. Gebruik een server-side JWT-bibliotheek voor productieverificatie; Deze tool is bedoeld voor inspectie en debugging.

technical

Je krijgt de header (algoritme en key id), de payloadclaims (sub, iss, aud, iat, exp en eventuele custom claims) en de ruwe handtekening. Standaard tijdstempelclaims zijn opgemaakt als door mensen leesbare data zodat je verouderde tokens in één oogopslag kunt zien.

features

Als de payload de standaard "exp"-claim bevat, vergelijkt de tool deze met de huidige tijd en toont het "Geldig tot" of "Token verlopen at" met de exacte tijdstempel. Tokens zonder exp-claim worden als zonder vervaldatum gerapporteerd.

features

Iedereen die de payload van een JWT leest, kan deze gebruiken tot deze verloopt, dus productietokens horen in private tools. Deze decoder draait volledig in je browser en verzendt de token nooit, maar de veiligere regel is om kortstondige ontwikkeltokens waar mogelijk te decoderen.

privacy

Een JWT heeft drie Base64URL-gecodeerde segmenten die gescheiden zijn door punten: header (ondertekeningsalgoritme), payload (de claims die de uitgever wil dat de verifier vertrouwt) en handtekening (een MAC- of digitale handtekening over header.payload). Decoding heeft nooit een sleutel nodig — alleen verificatie wel.

technical

Use Cases

Debug OAuth & OpenID Connect Flows

Decodeer-toegangstokens en ID-tokens die worden teruggegeven door Auth0, Okta, Cognito en Azure AD om scopes, audiences en uitvergevers te verifiëren tijdens lokale OAuth-integratiewerkzaamheden

technical

Inspecteer autorisatieheaders in API-aanroepen

Plak het bearer-token van een falend API-verzoek om te bevestigen of de verkeerde tenant, rol of vervaldatum de oorzaak is voordat je een ticket opent bij het backendteam

technical

Check Token Verloop tijdens ontwikkeling

Spot verlopen tokens die je staging-omgeving stilletjes breken door de exp-claim te lezen — je hoeft het token niet te kopiëren naar een terminal of een snel script te schrijven

technical

Auditrechten gecodeerd in tokenclaims

Controleer aangepaste claims zoals rollen, tenants en feature-flags zodat beheerders kunnen bevestigen dat de token van een klant precies de toegang verleent die het licentieteam beoogt

business

Valideer Single Sign-On integraties

Controleer SAML- en OIDC-tokens die door enterprise SSO-integraties zijn geproduceerd om groepslidmaatschappen en attributentoewijzingen te bevestigen voordat je het uitrolt naar alle medewerkers

business

Teach tokengebaseerde authenticatie

Gebruik de gedecodeerde header, payload en handtekeningen om uit te leggen hoe JWT's zijn opgebouwd aan bootcamp-studenten, junior engineers en deelnemers aan beveiligingsworkshops

educational